查看密钥策略 () - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

查看密钥策略 ()

您可以查看 AWS KMS 客户管理 CMKAWS 管理 CMK 在您的帐户中使用 AWS 管理控制台 或 GetKeyPolicy 操作 AWS KMS API。您不能使用这些技术来查看 CMK 不同的 AWS 账户。

要了解有关 AWS KMS 密钥策略的更多信息,请参阅使用 AWS KMS 中的密钥策略。了解如何确定哪些用户和角色可以访问 CMK,参见 确定访问 AWS KMS 客户主密钥.

查看密钥策略 (控制台)

授权用户可以查看 AWS 管理 CMK客户管理 CMK关键政策 选项卡 AWS 管理控制台.

查看关键政策 CMK 在 AWS 管理控制台,您必须 KMS:ListaliasesKMS:描述密钥,和 KMS:GetKeyPolicy 权限。

  1. 登录 AWS 管理控制台并通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.amazonaws.cn/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 要查看您账户中 AWS 为您创建和管理的密钥,请在导航窗格中,选择 AWS managed keys (AWS 托管密钥)。 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥).

  4. 在列表中 CMKs,选择别名或密钥ID CMK 要检查。

  5. 选择 Key policy (密钥策略) 选项卡。

    Key policy (密钥策略) 部分中,您可能会看到密钥策略文档。这是策略视图。在关键政策声明中,您可以看到 CMK 根据关键政策,您可以看到他们可以执行的操作。

    以下示例显示了默认密钥策略的策略视图。

    
                        默认关键策略的视图 策略视图 在 AWS KMS 控制台

    或者,如果您创建了 CMK 在 AWS 管理控制台,您将看到 默认视图 带有适用于 主要管理员关键删除,和 关键用户. 要查看密钥策略文档,请选择 Switch to policy view (切换到策略视图)

    以下示例显示了默认密钥策略的默认视图。

    
                        默认关键策略的视图 默认视图 在 AWS KMS 控制台

查看密钥策略 (AWS KMS API)

获得关键政策 AWS 管理 CMK客户管理 CMK 在您的 AWS 账户,使用 GetKeyPolicy 操作 AWS KMS API。此操作不能用于查看其他帐户中的密钥策略。

以下示例使用了 AWS Command Line Interface (AWS CLI) 中的 get-key-policy 命令,但您可以使用任何 AWS 开发工具包提出此请求。

请注意,PolicyName 参数是必需的,即使其唯一的有效值为 default。此外,此命令请求以文本而不是 JSON 形式输出,以便更易于查看。

在运行此命令之前,请将示例密钥 ID 替换为您账户中的有效密钥 ID。

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

响应应类似于下图,返回默认密钥策略

{ "Version" : "2012-10-17", "Id" : "key-consolepolicy-3", "Statement" : [ { "Sid" : "Enable IAM User Permissions", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }